绝大多数人坚信Telegram的安全性
加密:
Telegram作为号称”安全“”加密“的应用,却不提供默认端到端加密,且电脑端根本无法开启,服务器端仍可阅读绝大多数通讯。
Telegram Secret Chat使用的MTproto算法刻意把密钥刷新的次数降低到每100条消息/每周刷新一次,然而业界标准(Signal、Matrix、OMEMO、OTR)都是每条消息刷新一次,很明显是在毫无理由的情况下(例如性能)蓄意增加的降低安全性的功能。不好好做加密,反倒强调不受用户控制的删除功能的方便。Telegram亦坚称其Cloud Chat密钥存在多国服务器上,无法被一国获取,实际也是在撒谎,事实只需控制认证服务器即可获取解密和权限。
匿名:
Telegram禁止更容易匿名的PC端注册,强制使用手机号,且禁止使用Tor注册,亦可选地搜集邮箱等信息。
元数据、去中心:
毫无保护设计
Telegram本地的Credential亦无Matrix和XMPP利用类似Linux系统Keyring的保护,假若存储没有加密或成功被绕过,本地的取证即可长驱直入。
资金来源:
Telegram多年以来,一直缺少Valid Business Model,并不着急赚钱。纵使是土豪捐款运作,也很少有这样把自己烧到破产的做法,通常会以可持续的基金会运作。很难不让人怀疑一直就有其他的经济来源。
在威权国家赚到大钱的人,不可能是好人,这个规律未必只适用于中国。
Telegram没有任何一项技术设计利于保护用户免受
服务方窥探隐私,即便服务方可靠,一个几百人的团队亦不可能确保渗透。在英文安全社区中,Telegram也是回应安全更新缓慢或者不回应的臭名昭著的应用。
我坚信一个人的命运要把握在自己手中,优先选择不搜集数据的服务,切不可相信”把数据交给我,我来给你保密“的这类。认同这一主张的朋友可以把Telegram降为发布信息和认识朋友的渠道,不建议在Telegram进行任何私聊通讯,亦不可把手机号等敏感信息放心地交给Telegram,使用虚拟手机号。
我也一直主张适应墙外生态的人进一步逃离Telegram,在隐私、安全角度,看一下XMPP、Matrix、Session,就知道真正安全和尊重隐私的软件是什么样子了。
很少有中国人会仔细阅读和查证这些基本的、通俗易懂的技术分析,更不会滴水不漏地执行。
